Apple lanzó el lunes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una falla de día cero que ha sido explotada activamente en la naturaleza.
CVE-2024-23222 , es un error de confusión de tipos en el motor del navegador WebKit
Entonces Apple lanza el lunes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una falla de día cero que ha sido explotada activamente en la naturaleza.
El problema, identificado como CVE-2024-23222 , es un error de confusión de tipos en el motor del navegador WebKit .
Podría ser aprovechado por un actor de amenazas para lograr la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.
Sin embargo, el gigante tecnológico dijo que el problema se solucionó con controles mejorados.
VULNERABILIDADES
Las vulnerabilidades de confusión de tipos , en general, podrían utilizarse como arma para realizar accesos a la memoria fuera de los límites o provocar un bloqueo y la ejecución de código arbitrario.
Apple reconoció porque está “al tanto de un informe de que este problema puede haber sido explotado”, pero no compartió ningún otro detalle sobre la naturaleza de los ataques o los actores de amenazas que aprovechan la deficiencia.
Las actualizaciones están disponibles paraestos dispositivos y sistemas operativos:
- iOS 17.3 y iPadOS 17.3 : iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores, y iPad mini de 5.ª generación y posteriores
- iOS 16.7.5 y iPadOS 16.7.5 : iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación
- macOS Sonoma 14.3 : Mac que ejecutan macOS Sonoma
- macOS Ventura 13.6.4 : Mac que ejecutan macOS Ventura
- macOS Monterey 12.7.3 : Mac que ejecutan macOS Monterey
- tvOS 17.3 : Apple TV HD y Apple TV 4K (todos los modelos)
- Safari 17.3 : Mac con macOS Monterey y macOS Ventura
DESAROLLO
El desarrollo marca la primera vulnerabilidad de día cero explotada activamente que Apple parchea este año. El año pasado, el fabricante del iPhone abordó 20 días cero que se han empleado en ataques del mundo real.
Además, Apple ha respaldado las correcciones para CVE-2023-42916 y CVE-2023-42917 (parches que se lanzaron por primera vez en diciembre de 2023) a dispositivos más antiguos.
- iOS 15.8.1 y iPadOS 15.8.1 : iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
Entonces la divulgación también sigue a un informe de que las autoridades chinas revelaron que habían utilizado vulnerabilidades previamente conocidas en la funcionalidad AirDrop de Apple.
Para ayudar a las autoridades a identificar remitentes de contenido inapropiado, utilizando una técnica basada en tablas de arcoíris.
¿Encontró interesante este artículo? puedes leer este y otro más en https://sisaconsultores.mx/category/sisa-news/